De cybersecurity vacature kosten worden door de meeste organisaties schromelijk onderschat. Een functie die vier maanden openstaat, voelt beheersbaar zolang het team het opvangt en de recruiter updates blijft sturen. Maar onder die schijnbare rust loopt de rekening op. Elke week zonder security-professional vergroot het risico op incidenten, verhoogt de werkdruk op bestaande collega’s en vertraagt projecten die al lang hadden moeten starten.
Die cybersecurity vacature kosten zitten zelden in een kwartaalrapportage. Ze verschuilen zich in overwerk, gemiste signalen, uitgestelde verbeteringen en uiteindelijk in het vertrek van de mensen die het gat proberen te dichten. Voor HR Managers en CISO’s die sturen op continuiteit is dit geen abstract risico, maar een financiele realiteit die maand na maand groeit.
In dit artikel rekenen we voor wat een openstaande security-functie werkelijk kost, welke schade het langst doorwerkt, en welke alternatieven er zijn om het probleem structureel op te lossen.
Cybersecurity personeelstekort: structureel, niet tijdelijk
De Nederlandse arbeidsmarkt voor security-professionals is al jaren krap, en er is geen verbetering in zicht. Wereldwijd staan er volgens ISC2 ongeveer 4,8 miljoen cybersecurity-posities open, een stijging van 19% ten opzichte van het jaar daarvoor. In Nederland melden het CBS en UWV dat de ICT-sector structureel kampt met krapte. Security engineers, SOC-analisten en GRC-specialisten staan steevast in de top van moeilijk vervulbare functies.
Het cybersecurity personeelstekort raakt vooral het middensegment. De meeste vacatures vragen twee tot zes jaar ervaring, terwijl het aanbod van junior professionals beperkt blijft. Bijna de helft van alle organisaties doet er langer dan zes maanden over om een security-vacature in te vullen. Voor senior rollen loopt dat bij een op de drie organisaties op tot meer dan een jaar.
Dat is geen krapte die je oplost met een hoger salaris of een frissere vacaturetekst. Het cybersecurity personeelstekort vraagt om een andere aanpak van werving en teamopbouw. En zolang die aanpak uitblijft, lopen de cybersecurity vacature kosten gestaag verder op.
De directe cybersecurity vacature kosten: een rekensom
De meest zichtbare kosten zijn relatief eenvoudig te becijferen. Neem het bruto jaarsalaris van de functie, deel het door het aantal werkdagen, en vermenigvuldig dat met het aantal dagen dat de vacature openstaat. Voor een medior security-professional met een jaarsalaris van 60.000 euro komt dat neer op zo’n 275 euro per werkdag aan gemiste productiviteit. Bij een gemiddelde doorlooptijd van zes maanden is dat ruim 35.000 euro aan directe cybersecurity vacature kosten, zonder dat je ook maar een euro aan recruitmentkosten hebt meegeteld.
Maar de werkelijke kosten van een onbezette security functie zitten dieper. Een lege stoel raakt meerdere lagen van je organisatie tegelijk.
Verhoogd risico op incidenten
Minder capaciteit betekent minder monitoring, tragere detectie en langzamere respons. Organisaties met een significant personeelstekort in security betalen gemiddeld 1,76 miljoen dollar meer per datalek dan organisaties met volledige bezetting, zo blijkt uit het IBM Cost of a Data Breach Report. Die correlatie is logisch: minder ogen op de alerts betekent dat dreigingen later worden opgemerkt en de schade sneller escaleert. De kosten van een onbezette security functie zijn op dat moment niet langer verborgen, maar acuut.
Overbelasting van het bestaande team
Het werk verdwijnt niet als de vacature openstaat. Het verschuift naar collega’s die al een volle agenda hebben. Op korte termijn is dat beheersbaar. Na drie maanden begint de slijtage. Na zes maanden stijgt het risico op burn-out en vertrek, waardoor je niet een, maar twee vacatures hebt. Dat patroon versterkt zichzelf en is goed beschreven in de context van cybersecurity talent behouden. De indirecte cybersecurity vacature kosten door verloop zijn vaak hoger dan de oorspronkelijke vacature zelf.
Vertraagde projecten en verbeteringen
Securityteams die constant in reactiemodus opereren, komen niet toe aan structurele verbeteringen. Nieuwe detectieregels, patchmanagement, hardening van cloud-omgevingen: het schuift allemaal naar rechts op de planning. Elke maand uitstel vergroot de kwetsbaarheid van de organisatie. Wat begint als een wervingsprobleem wordt zo een security-schuld die steeds moeilijker in te lossen is.
Hogere externe inhuurkosten
Veel organisaties compenseren het gat door tijdelijk externen in te huren. Dat lost het acute probleem op, maar tegen een fors hogere prijs. Een interim security-consultant kost al snel het dubbele van een vaste medewerker op maandbasis, zonder dat je investeert in kennis die in de organisatie blijft. Zodra het contract afloopt, begint het probleem opnieuw.
De onzichtbare schade: kennis, cultuur en compliance
Naast de meetbare cybersecurity vacature kosten is er een categorie schade die lastiger te kwantificeren is, maar minstens zo zwaar weegt.
Kennisverlies is het duidelijkste voorbeeld. Wanneer een ervaren security-professional vertrekt en de vervanging maanden op zich laat wachten, verdwijnt contextuele kennis uit het team. Wie weet hoe de SIEM is geconfigureerd? Wie kent de uitzonderingen in het netwerk? Wie weet welke alerts echt urgent zijn en welke standaard false positives opleveren? Die kennis zit in hoofden, niet in documentatie.
Teamcultuur lijdt er eveneens onder. Een team dat maandenlang onderbezet werkt, verliest het vermogen om te investeren in samenwerking, kennisdeling en professionele ontwikkeling. Het werk wordt overleven in plaats van bouwen. De kosten van een onbezette security functie zitten hier niet in euro’s, maar in motivatie en teamstabiliteit.
En dan het compliance-risico. Auditoren, klanten en toezichthouders verwachten stabiele teams met aantoonbare expertise. Een vacature die maanden openstaat, ondermijnt dat verhaal. Het signaal naar buiten is onmiskenbaar: hier wordt security niet serieus genoeg genomen om er voldoende mensen voor aan te trekken.
Waarom de traditionele wervingsaanpak de cybersecurity vacature kosten niet verlaagt
De standaardreactie op een moeilijk vervulbare vacature is voorspelbaar: het salaris verhogen, de tekst breder uitzetten, een extra recruiter inschakelen. Soms werkt dat. Maar bij cybersecurity stuit je op een fundamenteel probleem: de mensen die je zoekt, bestaan vaak niet in de aantallen die de markt vraagt.
Specifiek voor het middensegment geldt dat junioren er wel zijn, maar veel organisaties ze niet durven aan te nemen. Senioren zijn schaars, en de concurrentie om hun aandacht is hevig. Het resultaat is een vacature die maanden openstaat terwijl het team langzaam leegloopt.
Een veelgemaakte fout is het stellen van te hoge eisen in de vacaturetekst. Functiebeschrijvingen die vragen om CISSP, vijf jaar SOC-ervaring en kennis van drie SIEM-platformen sluiten het overgrote deel van de potentiele kandidaten uit. De perfecte kandidaat bestaat zelden. Organisaties die wel succesvol hun cybersecurity vacature kosten beheersen, kijken breder. Ze investeren in mensen met potentieel en bouwen de benodigde vaardigheden op via gerichte, praktijkgerichte training.
Het alternatief: bouwen in plaats van alleen zoeken
Organisaties die het cybersecurity personeelstekort als gegeven accepteren, verschuiven hun strategie. In plaats van uitsluitend te zoeken naar kant-en-klare professionals, investeren ze in het opleiden van eigen talent.
Intern doorschuiven is de meest onderschatte optie. In veel organisaties werken IT-beheerders, systeembeheerders en netwerkspecialisten die al een deel van de benodigde basisvaardigheden hebben. Met een gericht opleidingstraject, zoals een praktijkgerichte cybersecurity opleiding van 15 weken, groeien deze medewerkers door naar operationele security-rollen. Ze kennen de organisatie, begrijpen de infrastructuur en zijn sneller productief dan een externe kandidaat. De cybersecurity vacature kosten dalen, omdat je de doorlooptijd van maanden terugbrengt naar weken.
Een tweede route is het structureel opzetten van traineeships of samenwerkingen met opleidingspartners. In plaats van te wachten tot de markt je ideale kandidaat levert, werk je samen met een opleider die mensen klaarmaakt voor specifieke rollen in jouw omgeving. Dat verkort de ramp-up tijd van nieuwe medewerkers en geeft je meer controle over de kwaliteit van de instroom.
Tot slot helpt het om de eisen in je vacatures te herijken. Niet elke security-rol vereist een senior met tien jaar ervaring. Veel operationele taken, denk aan alert triage, loganalyse en het volgen van playbooks, zijn goed uit te voeren door goed opgeleide junioren. De kunst zit in het herkennen welke taken je kunt delegeren en welke daadwerkelijk senioriteit vereisen. Meer over dat onderscheid lees je in het artikel over cybersecurity functies in Nederland.
De cybersecurity vacature kosten stoppen niet vanzelf
Elke week die je wacht, wordt de rekening hoger. Maar je hoeft niet te kiezen tussen maandenlang zoeken en genoegen nemen met een compromiskandidaat. Er is een derde weg: investeren in de ontwikkeling van mensen die er al zijn of die met de juiste begeleiding snel inzetbaar worden. Wil je weten hoe andere organisaties hun cybersecurity vacature kosten terugdringen? Plan een gratis adviesgesprek en ontdek welke opties passen bij jouw team en situatie. Of bekijk direct de mogelijkheden voor bedrijven die samenwerken met Trivian.



